某企業最近發布了《2022年數據泄露調查報告》，為企業提供了關于全球網絡安全狀況的重要見解，分析了過去15年里超過2.3萬起事件和5200起已確認的入侵事件，將網絡攻擊的首要動機歸因于經濟利益。

幾乎五分之四的違法行為是有組織犯罪所為，他們試圖通過保險賠付的方式，向企業勒索巨額。

勒索軟件入侵增加了13%，這比過去5年的總和還要多。此外，82%的網絡入侵涉及人為因素，即通過竊取證書、網絡釣魚、濫用或僅僅是簡單的錯誤。

人們繼續在事件和違規行為中扮演著非常重要的角色。據悉，今年有18%的網絡釣魚郵件直接來自手機，這突顯出這是商業安全的一個弱點。它的統計數據強調了擁有一個強大的安全意識項目的重要性。

很明顯，私營企業和公共機構迫切需要改變他們的網絡安全方法。提高安全意識固然好，但直接解決一個近二十年來無人問津的問題更好。

訪問過程的系統性缺陷

網絡安全界和媒體普遍認為，網絡安全的主要問題是人。超過80%的網絡攻擊和網絡入侵可以追溯到憑證方面的人為錯誤，特別是憑證盜竊和濫用。

然而，這種指責是錯誤的。想象一下，如果有一個路口，超過80%的事故發生，人們開始指責司機，建議他們應該接受訓練，更好地駕駛。但其實需要改變的是路口的設計，而不是人。

系統使用弱密碼和重復使用的密碼

在所有的入侵中，使用了弱密碼或重復使用的密碼是最容易被破解的。這個問題實際上不是個人的錯。首先，要記住幾百個隨機密碼是不可能的，但在數字世界中別無選擇，他們不得不求助于容易記住的密碼。

系統性違反數據隱私法

弱密碼和重復使用的密碼不是入侵的根本原因。公司面臨的最大問題是允許員工自己設置密碼。當這種情況發生時，公司就失去了對密鑰的控制，也就失去了對數據和網絡的控制。如果它不是“你的密鑰”，它就不是“你的數據”。這意味著公司不能遵守數據隱私法，這可以解釋為什么數據泄露現在如此普遍。

瓦解彈性的系統性

為了減少需要記住的密碼數量，企業采用了單一訪問，也就是單點登錄，身份訪問管理，特權訪問管理，而沒有意識到這自動為犯罪分子降低了層次和障礙，減少了他們進入網絡所需的步驟數量。

在為犯罪分子創造了獲取訪問、掃描和定位鎖定整個網絡所需特權的黃金路徑后，從2019年到2021年，首次訪問勒索軟件所需的總時間從兩個多月減少到3.85天。在同一過程中，他們將所有數據放在同一個籃子中，從管理員或特權帳戶訪問，從而加劇了任何數據泄露的潛在負面影響。

更多的網絡安全工具或培訓并不能解決問題

如果不解決他們的訪問安全漏洞，增加網絡安全工具或培訓的預算，就無法阻止入侵或勒索軟件，就像在汽車里安裝更多的電子設備和提供更多的駕駛課程，如果基礎設施建設得很危險，就無法阻止交通事故一樣。當人們一開始就不應該創建和了解公司密碼時，就沒有必要對他們進行密碼安全培訓。當人們無法泄露他們不知道的密碼時，就沒有必要對他們進行網絡釣魚訓練。當懷疑有漏洞時，當每個系統都有不同的密碼，并且沒有從哪里鎖定或竊取所有東西的單一訪問時，沒有必要拔掉整個IT基礎設施。

心態的轉變

在過去的幾年里，隨著網絡安全預算的增加，網絡攻擊的數量一直在上升，沒有很多人問為什么。盡管超過80%的漏洞與基于人工的證書有關，但大部分網絡安全預算都花在了基礎設施和系統漏洞上，其中大多數仍未被發現。但現在，網絡安全溢出到物理世界的巨大風險，促使人們要求改變網絡安全的工作方式。

為什么人們不應該首先設置密碼

除非你能保證自己的大門安全，否則在網絡安全上投資數十億美元是不會有效果的。首先，不讓員工控制對公司基礎設施和資產的訪問權限。當其他人創建了你整個企業的數字密鑰時，你就失去了對他們的可見性和控制權。

實際上，密碼只是鑰匙

為了能夠重新獲得對其密碼的控制權，公司需要按其本質對待密碼。就像新員工開始新工作并收到大樓和辦公室的鑰匙一樣，他或她在開始新工作時收到的是數字鑰匙，而不是自己制作的。

物理密鑰和數字密鑰的唯一區別是在數字世界中沒有物理障礙。要竊取物理密鑰，需要靠近密鑰。數字密鑰或密碼可以從世界上任何地方被盜。

加密密鑰，以免它們被盜

在憑證盜竊沒有物理障礙的情況下，保護密鑰的最有效措施是使用保護秘密的方法，也就是密碼學。公司只需加密他們的訪問權限，并將所有系統的憑據分發給他們的用戶，這些系統位于一個只有每個用戶可以訪問的安全地方。這種邏輯解決了超過80%的違規行為。